当前,网络安全形势更加严峻,而传统安全建设思路以被动防御为主,基于已知的攻击特征和规则匹配形成防护,缺乏对新型威胁的安全感知能力和应对手段。在企业安全防护更强调攻防对抗和有效性的背景下,构建主动安全防护能力体系,将是有效应对日益复杂的网络攻击手段,保障企业数字化转型成功的必要路径。
尽管企业用户对主动安全防护需求旺盛,但是一些主动安全产品还不够成熟,存在误报率高、实施难度大、可管理性差等问题,导致实际应用表现差强人意。在2023年,我们可以重点关注并积极尝试以下6种较为成熟的主动安全防护技术/产品,推进组织新一代安全能力体系构建:
1、安全态势管理(SPM)
被动式的响应安全事件,往往会耗费安全人员大量精力,同时又难以避免对企业财产和业务造成损失。而安全态势管理方案则可以自动识别和修复整个企业数字化环境中的风险,帮助企业安全管理者进行风险可视化、自动化事件响应和合规性监控。
目前SPM技术包含有多种类型,包括了专注于云基础设施(包括IaaS、SaaS和PaaS)的云安全态势管理,以及识别敏感数据并确保其安全的数据安全态势管理。
不过在2023年,对企业组织而言最重要的SPM技术可能是SaaS安全态势管理(SSPM),主要用于检测和修复SaaS应用程序中的错误配置和其他问题。SSPM是云访问安全代理(CASB)技术发展以来SaaS安全领域最重要的创新之一,虽然CASB仍然属于一种被动安全防护模式,但SSPM寻求实施最严格的安全策略,同时仍然使应用程序对组织保持可行。
此外,云安全态势管理(CSPM)也是SPM一个重要的细分应用,旨在识别云中的错误配置问题和合规风险。CSPM解决方案的一个重要目标是持续监控云基础设施,以发现安全策略执行方面的漏洞。
2、攻击面管理(ASM)
ASM技术要求持续发现和监控企业所有的数字化资产,从应用程序、数字证书、代码到移动和物联网设备,以保持已知和未知资产的可见性。据最新调查数据显示,目前,有52%的受访企业组织管理着超过10,000个数字资产,因此ASM将是一项重要且不断增长的技术。
安全专家认为,ASM是安全分析技术的进步,是传统威胁检测与响应类技术方案的能力延伸。ASM利用了威胁检测响应中恶意活动意识增强的趋势,并将其进一步扩展。它回答了很多问题,比如企业哪里可能成为目标,哪里缺乏可见性,组织的攻击面整体是什么样的?在哪些方面缺乏足够的监控措施?或者说,企业是否真正具备了应有的防御机制和能力?
根据Gartner的描述,ASM技术需要超越传统资产的识别范围(如端点、服务器、设备或应用程序等),通过将发现的资源整合到资源库,使用户可以了解到传统威胁检测工具的覆盖缺口。ASM还可以通过API集成提供自动化的数据收集,取代传统手动和低效的资产收集分析模式,帮助安全团队实现对整体环境的安全控制、安全态势感知和资产风险修复,从而主动改善企业的数字化安全状况。
3、入侵和攻击模拟(BAS)
入侵和攻击模拟(BAS)也是由Gartner首先提出的概念,并将之归到了新兴技术行列。正如 Gartner 描述的,此类工具“可供安全团队以一致的方式持续测试安全控制措施,贯穿从预防到检测乃至响应的整个过程”。BAS与传统的渗透测试和漏洞管理工具有根本上的不同。后两种方法都需要大量的人工指导,实际上会为安全团队制造更多的工作和带来更多误报。相比之下,BAS完全自动化,并在全面的剧本中模拟数千种攻击。
BAS工具能够高效一致地衡量现有安全检测功能及运营的有效性。模拟结果可帮助指导产品投资及配置决策以堵上安全漏洞,还有助于补全企业领导的网络安全知识空缺,比如:攻击者能悄悄绕过我们的防御吗?我们适用的风险是什么?这些风险对我们能造成什么样的影响?这可以使安全人员处于影响短期投资决策、参与长期安全规划的位置上,还能从商业角度总结出安全运营上的改善。
4、网络安全性能管理(CPM)
网络安全性能管理(Cybersecurity performance management)主要是监控了解企业现有安全防护体系的性能表现和产品工作状态,并以此评估企业应对网络安全风险的整体能力和健康指标。通过CPM,企业可以对部署的各种重要网络设备和安全防护产品进行监测,并对监测过程中采集的数据进行分析,从而实施评估数字化系统的运行状况和稳定性。CPM的典型功能包括:
性能监控:由企业定义需要监控的对象及其属性,定时采集相关对象的检测数据,自动生成性能报告;
阈值控制:针对不同的时间段和性能指标,为监控对象的运行属性设置阈值,并提供相应的阈值管理和警报机制;
性能分析:对监测数据进行统计、整理和分析,结合性能指标判断网络安全态势,为安全管理者提供参考;
可视化报告:对性能分析结果进行记录和处理,生成性能趋势曲线,以图形方式直观反映安全防护体系性能状态;
性能查询:可通过列表或关键字等方式检索安全防护系统的实时或历史性能状态。
5、云基础设施授权管理(CIEM)
云计算应用已成为企业数字化发展的重要趋势,保障云应用安全将是企业安全团队的重要工作任务。云基础设施授权管理(CIEM)是一种采取了主动性安全防护模式的云安全创新技术,它补充了而不是替代了现有威胁检测与响应技术的被动安全防护模式。CIEM技术可以发现企业业务上云后的访问权限范围,并执行最小权限原则,即授予用户执行工作所需的最小权限。例如,CIEM可以检测对云资源的过度访问。一旦确定,CIEM工具可以提出合理的安全建议,甚至自动执行所需的更改。
6、安全即服务(SECaaS)
随着网络安全运营工作变得越来越复杂,而安全人才仍然稀缺,预计会有更多的组织转向选购安全即服务。通过SECaaS模式,企业可以将网络安全管理任务移交给有经验的专业第三方安全公司,如托管安全服务提供商(MSSP)。目前,主流的SECaaS服务范围包括了从维护广泛的安全功能到监督特定的系统,如安全信息和事件管理、CASB和安全访问服务边缘。
对于企业而言,想要依靠自身的安全团队充分运营好所有的安全产品和工具会面临很多挑战,但寻找到适合的MSSP或SECaaS提供商却相对容易,他们可以帮助企业识别各种类型的安全漏洞,并以合理的成本解决企业面临的安全问题。